7.4.1. Классификация задач по назначению

защищаемого объекта

Основу классификации задач, решаемых механизмами парольной защиты, составляет назначение защищаемого объекта (компьютера). Именно в соответствии с назначением объекта определяется перечень защищаемых ресурсов и источников угроз (потенциальных злоумышленников).

Соответствующая классификация приведена на рис. 7.1.

Кстати говоря, рассматриваемые процедуры парольной защиты могут устанавливаться на любые действия системы и пользователя (например, на запуск каждого процесса). Однако необходимо понимать, что это, как правило, не оправдано, поскольку приводит к существенной дополнительной загрузке вычислительного ресурса, т.к. данная процедура выполняется не автоматически.

7.4.2. Возможные классификации механизмов авторизации, реализованных в современных

системах защиты

Рассмотрим возможные классификации механизмов идентификации и аутентификации, полученные на основе анализа применения механизмов парольной защиты в ОС (прежде всего семейства Windows), приложениях и современных добавочных средствах защиты ОС.

Классификация по функциональному назначению (классификация решаемых задач) процедур идентификации и аутентификации, применяемых на практике в системах защиты (в том числе и в добавочных средствах защиты), представлена на рис. 7.2.

Классификация по принадлежности идентификаторов и паролей приве-

дена на рис. 7.3, по способу их задания — на рис. 7.4, по способу их ввода

- на рис. 7.5, по способу их хранения — на рис. 7.6.

Парольная защита

8.1. Механизмы парольной защиты

Функциональное назначение механизмов парольной защиты

По функциональному назначению парольный вход, как правило, используется для контроля загрузки системы, контроля функционирования и с целью блокировки. С целью контроля загрузки может устанавливаться процедура идентификации и аутентификации пользователя перед началом загрузки системы, например, встроенными средствами BIOS. В этом случае выполнить загрузку системы сможет только санкционированный пользователь. Доступ к заданию режима загрузки контролируется штатными средствами

BIOS, где после аутентификации пользователь может установить, откуда загружается система — с жесткого диска или с внешнего носителя, а также указать очередность выбора средств загрузки. В качестве контроля доступа к заданию режима загрузки может устанавливаться парольный вход на возможность загрузки в безопасном режиме. Например, для загрузки в режиме Safe Mode для ОС Windows NT/2000/XP пользователю необходимо пройти авторизацию. Загрузиться в аналогичном безопасном режиме в ОС семейства UNIX после авторизации может только пользователь с правами «root».

Для решения задачи контроля функционирования вычислительной системы выделяются:

« Контроль пользователя при доступе в систему. Реализуется в том числе

штатными средствами ОС. » Контроль при запуске процесса. Благодаря этому при запуске некоторых приложений может быть установлена парольная защита. Прежде всего, здесь интерес представляет установка пароля ответственного лица, например, начальника подразделения (будет рассмотрено ниже).» Контроль при доступе к локальным ресурсам. Например, при доступе к локальному принтеру и т.д. также может использоваться аутентификация ответственного лица. * Контроль при доступе к сетевым ресурсам. Реализуется в том числе штатными средствами ОС. Например, доступ к ресурсам можно разделить паролем. Так осуществляется сетевой доступ к общим ресурсам по протоколу NETBIOS для ОС семейства Windows.

В качестве реакции на несанкционированные действия пользователя системой защиты может устанавливаться блокировка некоторых функций: загрузки системы, доступа в систему, учетных записей пользователя (идентификаторов), запуска определенных приложений. Для снятия блокировки необходима авторизация администратора безопасности или ответственного лица.

Кроме того, пользователь может сам выставить блокировку на доступ к системе и к приложениям и т.д., чтобы доступ в систему и к этим приложениям в его отсутствии был блокирован. Для разблокировки приложения необходимо авторизоваться текущему пользователю. При этом администратор безопасности может блокировать учетные записи

пользователей для входа в систему в нерабочее время.

С учетом введенной классификации может быть сделан вывод о функциональном назначении применения механизмов парольной защиты:» С целью контроля загрузки может устанавливаться возможность контроля пользователя перед началом загрузки системы. Кроме того, контроль пользователя может осуществляться при задании способа

и при доступе к заданию режима Загрузки.» С целью контроля доступа выделяется контроль пользователя при доступе в систему. Также могут иметь место контроль при запуске процесса (прежде всего, здесь интерес представляет установка пароля ответствен-

ного лица) и контроль при доступе к локальным и сетевым ресурсам.« С целью снятия блокировки (реакции) используется контроль администратора безопасности или ответственного лица. Кроме того, пользователь может выставить блокировку на некоторые приложения и т.д. Для их снятия осуществляется контроль пользователя.

Особенности парольной защиты, исходя из принадлежности пароля

С точки зрения принадлежности пароля в классификации выделены «пользователь», к которому относится прикладной пользователь системы и администратор, а также «ответственное лицо», в качестве которого может, например, выступать начальник подразделения. Авторизация ответственного лица может устанавливаться для реализации физического контроля доступа пользователя к ресурсам, прежде всего, к запуску процесса. При этом особенностью здесь является то, что авторизация ответствен-

ного лица осуществляется не при доступе в систему, а в процессе функционирования текущего пользователя.

Рассмотрим пример. Пусть требуется обеспечить физически контролируемый доступ к внешней сети, например, к сети Internet. На запуск соответствующего приложения устанавливается механизм авторизации ответственного лица (его учетные данные хранятся в системе защиты). Тогда при запуске соответствующего приложения появится окно авторизации ответственного лица, и приложение может быть запущено только после его успешной авторизации. При этом приложение запускается только на один сеанс.

Таким образом, приложение физически запускается ответственным лицом с локальной консоли защищаемого объекта. В результате ответственное лицо будет знать, кто и когда запросил доступ в сеть Internet, так как сам принимает решение -- разрешать доступ или нет. Если доступ разрешается, ответственное лицо может полностью контролировать дан-

ный доступ, т.к. запуск приложения возможен только в его присутствии. В соответствии с классификацией принадлежности учетной записи введена и классификация способов задания учетных данных (идентификаторов и паролей). Соответственно назначение учетных данных могут осуществлять как владелец учетной записи, так и администратор (принудительно).

Реализация механизмов парольной защиты

Ввод идентификатора и пароля может осуществляться, как с применением штатных средств компьютера — клавиатуры, устройств ввода (например, дисковод — с дискеты), так и с использованием специализированных устройств аутентификации — всевозможных аппаратных ключей, биометрических устройств ввода параметров и т.д.

Естественно, что для сравнения вводимой и эталонной информации, эталонные учетные данные пользователей должны где-то храниться. Возможно хранение эталонных учетных данных непосредственно на защищаемом объекте. Тогда при вводе учетных данных из памяти считываются эталонные значения и сравниваются с вводимыми данными.

Кроме того, эталонные данные могут располагаться на сервере. Тогда эталонные значения на защищаемом объекте не хранятся, а вводимые данные передаются на сервер, где и сравниваются с эталоном. При этом именно с сервера разрешается или запрещается доступ субъекту, который ввел учетные данные.

Очевидно, что хранить эталонный пароль как на защищаемом объекте, так и на сервере в открытом виде недопустимо. Поэтому для хранения пароля используется необратимое преобразование (Хеш-функция), позволяющая создавать некий образ пароля -- прямое преобразование. Этот образ однозначно соответствует паролю, но не позволяет осуществить обратное преобразование — из образа восстановить пароль. Образы паро-

лей уже могут храниться на защищаемом объекте, т.к. их знание не позволяет злоумышленнику восстановить исходный пароль. Для реализации необратимого преобразования наиболее часто на сегодняшний день используется алгоритм хеширования MD5.

8.2. Угрозы преодоления парольной защиты

Обобщенная классификация основных угроз парольной защите представлена на рис. 8.1. Данная классификация вводится как в соответствии со статистикой известных угроз, так и в соответствии с потенциально возможными угрозами. Кроме того, при построении данной классификации учитывался анализ принципов работы механизмов идентификации и аутентификаци и.

Рассмотрим представленные угрозы. Наиболее очевидными явными угрозами являются физические — хищение носителя (например, дискеты с паролем, электронного ключа с парольной информацией и т.д.), а также визуальный съем пароля при вводе (с клавиатуры, либо с монитора). Кроме того, при использовании длинных сложных паролей пользователи подчас записывают свой пароль, что также является объектом физического хищения.

К техническим явным угрозам можно отнести подбор пароля – либо автоматизированный (вручную пользователем), либо автоматический, предполагающий запуск пользователем специальной программы подбора паролей. Кроме того, для сравнения вводимого и эталонного значений пароля, эталонное значение пароля должно храниться на защищаемом объекте (либо на сервере в сети). Это эталонное значение без соблюдения соответствующих мер по хранению паролей (хеширование, разграничение доступа к области памяти или реестра, где ^хранятся пароли), может быть похищено злоумышленником.

Естественно, что наиболее опасными являются скрытые угрозы, например: » технический съем пароля при вводе;

» модификация механизма парольной защиты;

« модификация учетных данных на защищаемом объекте.

Первая группа скрытых угроз наиболее очевидна. Пароль должен быть каким-либо образом введен в систему — с клавиатуры, со встроенного или дополнительного устройства ввода, из сети (по каналу связи). При этом злоумышленником может быть установлена соответствующая программа, позволяющая перехватывать поступающую на защищаемый объект информацию. Развитые подобные программы позволяют автоматически фильтровать перехватываемую информацию по определенным признакам — в том числе, с целью обнаружения паролей. Примером таких программ могут служить сниферы клавиатуры и канала связи. Например, снифер клавиатуры позволяет запоминать все последовательности нажатий кнопок на клавиатуре (здесь пароль вводится в явном виде), а затем фильтровать события по типам приложений. Злоумышленник, установив подобную программу, и задав режим ее запуска при входе в систему какого-либо пользователя, получит его пароль в открытом виде. Затем, например, троянская программа может выдать этот пароль по сети на другую рабочую станцию. Таким образом, если в системе зарегистрировано несколько пользователей, то один пользователь

может узнать пароль другого пользователя, а затем осуществить доступ в систему с правами последнего и т.д.

Второй тип скрытых угроз предполагает возможность отключить механизм парольной защиты злоумышленником, например, загрузить систему с внешнего носителя (дисковода или CD-ROM). Если механизм парольной защиты представляет собой некий процесс (в добавочной системе защиты), то выполнение данного процесса можно остановить средствами системного монитора, либо монитора приложений, например, встроенными средствами в оболочку Far. Подобная возможность существует для ОС Windows 9X/Me.

Третья группа скрытых угроз заключается в модификации учетных данных на защищаемом объекте. Это осуществляется либо путем их замены, либо путем сброса в исходное состояние настроек механизма защиты. Примером может служить известная программная атака на BIOS - сброс настроек BIOS в исходное состояние посредством изменения контрольных сумм BIOS.

Из сказанного может быть сделан весьма важный вывод, подтверждающий выводы, сделанные ранее: каким бы надежным ни был механизм парольной защиты, он сам по себе в отдельности, без применения иных механизмов защиты, не может обеспечить сколько-нибудь высокого уровня безопасности защищаемого объекта.

Другой вывод состоит в том, что невозможно сравнивать между собою альтернативные подходы к реализации механизма защиты (в частности, механизма парольной защиты), так как можно оценивать лишь уровень защищенности, обеспечиваемый всей системой защиты в целом, то есть обеспечиваемый совокупностью механизмов защиты (с учетом их реализации), комплексированных в системе.

8.3. Способы усиления парольной защиты

8.3.1. Основные механизмы ввода пароля.

Усиление парольной защиты за счет усовершенствования механизма ввода пароля

В этом разделе мы рассмотрим основные известные на сегодняшний день

способы ввода пароля. Все они представлены на рис. 8.2.

Наиболее очевидный способ ввода пароля, который реализован практически во всех ОС, состоит в вводе пароля с клавиатуры. Недостатком данного способа является возможность визуального съема пароля злоумышленником. При этом в меньшей степени опасность представляет набор пароля пользователем на клавиатуре — этому можно противодействовать организационными мерами. В большей степени угроза состоит в том, что при задании сложного пароля пользователь стремится его куда-нибудь записать, чтобы не забыть. В качестве противодействия угрозе визуального съема пароля могут использоваться внешние носители информации. При этом могут использоваться как стандартные средства ввода информации (например, дискета), так и средства, предполагающие подключение специальных средств ввода парольной информации — всевозможные электронные ключи, «таблетки» и т.д. На этих носителях записывается пароль, который считывается системой при аутентификации пользователя. Здесь может задаваться достаточно большая длина пароля без угрозы его визуального съема. Применение для ввода пароля стандартного или специального носителя с точки зрения обеспечиваемого уровня безопасности практически равноценно. Вопрос выбора носителя определяется его ценой, долговечностью, удобством хранения.

Дополнительные носители парольной информации для усиления парольной защиты ОС используются практическими всеми современными средствами добавочной защиты.

Недостатком применения внешних носителей информации для ввода пароля является потенциальная угроза его хищения злоумышленником. Для противодействия хищению злоумышленником носителя информации с паролем могут рассматриваться следующие альтернативные способы защиты:

« Использование биометрических характеристик пользователя — подход, позволяющий отказаться от внешнего носителя с паролем как такового. При этом идентификатором пользователя становятся его биометрические параметры. Причем ввиду их однозначного соответствия пользователю эти параметры служат одновременно и паролем.

* Комбинирование способа ввода пароля с клавиатуры и способа ввода пароля с внешнего носителя. Например, механизм ввода пароля с клавиатуры может рассматриваться как дополнение к механизму ввода пароля с внешнего носителя. Комбинированный способ осуществляется двумя механизмами, один из который является основным, а другой — дополнительным. На наш взгляд, при защите компьютеров имеет смысл использовать следующий комбинированный способ ввода пароля:

» основной — с внешнего носителя (целесообразно реализовать добавочными средствами защиты), » дополнительный - - с клавиатуры (для этого могут использоваться встроенные в ОС механизмы авторизации пользователя).

Таким образом можно выделить следующие приоритеты в использовании механизмов ввода пароля (расположены в порядке убывания):

1. Биометрический способ идентификации пользователя.

2. Комбинированный способ (консольный ввод + использование внешнего носителя).

3. Ввод пароля с внешнего носителя.

4. Консольный ввод (ввод пароля с клавиатуры).

Соответственно механизмы парольной защиты можно усиливать уже на этапе ввода пароля. Для этого необходимо в системе предусмотреть наиболее приоритетный способ ввода пароля.

8.3.2. Основное достоинство биометрических систем контроля доступа

В двух словах остановимся на рассмотрении новых свойств парольной защиты, реализуемых на основе контроля биометрических характеристик пользователя.

Гипотетически возможна угроза, связанная с тем, что один пользователь передает свои парольные данные другому пользователю, а тот воспользуется ими для несанкционированного входя в систему последним (в определенном смысле это можно трактовать, как изменение ПРД к ресурсам пользователем не администратором безопасности, что противоречит формальным требованиям к системе защиты).

В общем же случае механизмы биометрической идентификации пользователя (естественно, при их корректной реализации) предотвращают возможность какой-либо передачи парольной информации между пользователями. А это достаточно важно при реализации централизованной (без участия пользователя) схемы администрирования механизмов защиты. В этом и заключается несомненное достоинство данных подходов парольной защиты по сравнению с применением внешних аппаратных носителей

парольных данных (всевозможных ключей, смарт-карт и т.д.). Другими словами, корректно в общем случае концепция централизованного администрирования системы защиты может быть реализована с применением биометрических систем контроля доступа.

Достоинством же применения внешних аппаратных носителей парольных данных является большая универсальность в смысле возможности хранения учетных данных. То есть на них может храниться не только информация, идентифицирующая пользователя, но и ключи шифрования, а также иные данные.

8.3.3. Основные способы усиления парольной защиты, используемые в современных ОС и приложениях

Классификация основных способов усиления пароля, используемых в современных ОС и в приложениях, представлена на рис. 8.3. Все они призваны воспрепятствовать подбору пароля злоумышленником.

8.3.4 . Анализ способов усиления парольной защиты

Проиллюстрируем цели применения рассматриваемых способов усиления "пароля. При этом опустим некоторые уникальные подходы, как например, учет параметров, характеризующих процедуру ввода пароля пользователем — скорость набора символов и др. То есть не будем рассматривать методы, которые едва ли применимы в распространенных приложениях. Собственно расчетные формулы оценки сложности под-

бора пароля в работе не приводятся ввиду их тривиальности [8, 13]. Пусть А — исходный алфавит для задания пароля (некоторое число символов, включая их типы, для назначения пароля), a L — длина пароля. В этих предположениях число возможных парольных комбинаций составит:

R=f(A,L).

Обозначим вероятность подбора злоумышленником пароля с одной попытки Р\ (в предположении, что все парольные комбинации равновероятны: Р\ = 1/R). Если для подбора пароля злоумышленником совершается п попыток в единицу времени /, то за интервал времени Т (число единиц времени), вероятность подбора пароля злоумышленником будетописываться следующей зависимостью:

Р= F(A, L, Pl,n(t) , T).

Теперь, в соответствии с полученной зависимостью, рассмотрим, какие способы усиления пароля (рис. 8.3) на какой параметр призваны влиять. Применение способов усиления пароля, посредством задания дополнительных требований к параметрам пароля в соответствии с зависимостью R = / (A, L) призваны увеличить число возможных парольных комбинаций.

Ограничения на «число типов символов в пароле», «возможность задания простых паролей», и на «повторяемость паролей» задаются с целью уменьшения параметра Р1, то есть с целью, по возможности, обеспечить равновероятность для злоумышленника всех исходных парольных комбинаций.

Ограничение на «число неверно введенных значений пароля» реализует возможность совершить пользователю только заданное число N попыток подбора пароля. В случае превышения этого количества может либо блокироваться учетная запись данного пользователя, либо блокироваться защищаемый объект в целом.

Данное ограничение является одним из важнейших, т.к. оно призвано противодействовать возможности автоматического подбора паролей. В этом случае число попыток подбора злоумышленником жестко фиксировано параметром N и исходная зависимость для вероятности подбора пароля злоумышленником принимает следующий вид:

Р= F(A, L,P\, TV).

Данное ограничение можно рассматривать как альтернативу применению способов усиления пароля, основанных на дополнительных требованиях к параметрам пароля в соответствии с зависимостью R = f(A, L). To есть, уменьшая параметр N, тем самым можно снижать требования к параметру L. А это, как отмечали ранее, крайне важно при использовании механизма парольной защиты, предполагающего ввод пароля с клавиатуры.

Очевидно, что без использования данного ограничения с учетом больших темпов роста производительности компьютеров, приводящего к заметному увеличению параметра n(t), без применения данного ограничения соответственно возрастают требования к параметрам A, L.

Ранее было отмечено, что в основе проектирования системы защиты должен лежать системный подход. В рамках этого подхода при проектировании механизмов парольной защиты необходимо учитывать наличие других механизмов в системе защиты.

Так, если в системе защиты обеспечена замкнутость программной среды которая не позволит пользователю запустить программу подбора паролей, т.е. реализовать автоматический способ подбора, то не столь актуальным становится и реализация ограничения на число неверно введенных значений пароля. Действительно, в этом случае параметр n(t) уже имеет значение: 1 попытка за 5...15 с. (определяется скоростью ручного ввода пароля пользователем), что не позволит сколько-нибудь эффективно противодей-

ствовать парольной защите.

С учетом сказанного может быть сделан следующий важный вывод: существуют альтернативные подходы к усилению пароля с целью преодоления возможности его подбора. Наиболее эффективным из них можно признать «Ограничение на число неверно введенных значений пароля», использование которого позволяет существенно снизить требования к длине пароля. Однако аналогичный результат достигается, если в системе защиты обеспечивается замкнутость программной среды, противодействующая

выполнению автоматического (программного) подбора пароля.

Кроме того, в случае, если не используется ограничение на число неверно введенных значений пароля, вероятность подбора пароля зависит не только от параметра nft), но и от параметра Т. При этом данное ограничение устанавливается на параметр Т, позволяя снизить суммарное число попыток подбора для одного установленного значения пароля (за счет ограничения отведенного на это времени).

Возможность ограничения «на число неверно введенных значений пароля» является важнейшей в части усиления парольной защиты и, наряду с другими рассмотренными выше возможностями, присутствует в механизмах парольной защиты практически всех современных ОС большинства приложений. При этом в различных семействах ОС возможности установки ограничений на пароль различаются незначительно.

Дополнительно в системах парольной защиты может использоваться ограничение на периодичность смены пароля пользователем, которое призвано ограничить возможность использования одного и того же значения пароля в течение сколько-нибудь продолжительного времени (например, более месяца).

Задачи и методы добавочных

механизмов в рамках усиления

парольной защиты